航空基礎設施資安威脅與因應挑戰
2025.08.29
瀏覽數
652
壹、前言
航空運輸基礎設施(Air Transport Infrastructure)是支持航空運輸的實體和技術組成的統稱,實體組成部分包括機場設施如跑道、航廈、空中交通管制系統,與航空器本身及支援技術如導航和通訊系統。[1]這個每日處理數百萬乘客與貨物流動的龐大生態系統,不僅是全球經濟運行的重要動脈,更是國家安全體系的關鍵組成部分。然而,隨著數位化提升與系統間關聯更加緊密,航空基礎設施正面臨前所未有的網路安全挑戰。
根據法國泰勒斯集團(Thales)的研究報告,2024至2025年間,針對航空部門的勒索軟體攻擊激增600%,標誌著威脅行為者從傳統能源和電信部門轉向交通運輸基礎設施的戰略性轉變。[2]攻擊手法從早期的資料竊取演進至針對關鍵營運系統的破壞性攻擊,顯示威脅行為者日趨複雜的能力與高度企圖。這一威脅態勢的演變不僅威脅到區域經濟穩定,更對國家安全構成系統性風險,促使政策制定者需重新評估現有防護框架,並建立更強韌的區域協調機制。
冷戰後,日韓與菲律賓等盟國建立了大量軍民共用機場設施,在潛在衝突情境下,針對這些共享跑道設施的網路攻擊可能同時癱瘓商業航班和軍事調動能力。這種雙重依賴性意味著針對民用機場的網路攻擊不僅影響經濟活動,更直接威脅國防能力和軍事準備狀態。加上亞太地區航空系統的複雜性以及平衡民用需求與軍事要求的基礎設施安全挑戰,使得區域安全態勢更加嚴峻。
本文將從威脅發展趨勢出發,分析全球航空網路安全挑戰的演變軌跡,探討亞太地區面臨的特殊風險因素,並檢視現有防護機制不足處,試圖提出強化航空基礎設施網路韌性的具體建議,以確保這一關鍵部門能夠有效應對日益複雜的網路與區域安全挑戰。
貳、安全意涵
一、威脅從傳統部門轉向航空基礎設施
自2020年以來,關鍵基礎設施的網路威脅態勢已快速轉變,尤其傳統上以能源、電信和金融服務為主要目標的攻擊者,將焦點轉向航空運輸系統等交通基礎設施。這樣的轉變,很可能是出自攻擊者認為航空基礎設施具高度戰略價值,若能預置惡意程式或勒索,將有機會從中獲取更大利益。除了前述的勒索軟體攻擊外,美國非營利組織科技進步中心(Technology Advancement Center)也指出71%的攻擊涉及盜用登入憑證和IT基礎設施的未授權存取。同時,針對航空公司和機場線上服務的分散式阻斷服務(Distributed Denial-of-Service, DDoS)攻擊佔網路事件的25%,而地緣政治緊張局勢、數位化程度提高以及攻擊面擴大,均是造成威脅升高的主因。[3]
由於可攻擊資訊系統、破壞其安全性的路徑、方法(即一般通稱的攻擊向量(attack vector))快速演進,惡意行為者通常會結合不同攻擊手法,採取跨網路層與應用層的複合型攻擊方式,也暴露出現代航空系統的層層弱點。這些攻擊向量可能包括:供應鏈滲透攻擊,透過感染航空系統供應商的軟體或硬體元件來植入惡意程式;針對SCADA(監控與資料擷取)系統的攻擊,直接威脅機場營運設施如燃料管理、行李處理系統;以及利用無線通訊協定弱點進行的中間人攻擊,特別是針對飛機與地面控制站之間的通訊鏈路。[4]
尤其航空基礎設施內,有許多關鍵系統仍依賴1970-1980年代部署的傳統基礎設施,這些作業技術(Operation Technology, OT)系統,大都缺乏現代化的網路安全防護,也成為攻擊的破口。而空中交通管制系統(如ACARS和ADS-B通訊協定)、機場營運技術(包括SCADA系統、燃料管理和貨物處理)以及航空器電子系統的數位化程度不斷提高,同時也大幅擴大攻擊面。[5]以空中交通管制系統(Air Traffic Control Systems)為例,根據美國政府課責審計署(Government Accountability Office)的調查報告顯示,聯邦航空管理局(Federal Aviation Administration)所有的138個空中交通管制系統中,有105個已過時且容易發生嚴重故障。[6]這些OT系統多半沒有部署現代化的端點偵測與回應(Endpoint Detection and Response, EDR)機制,也缺乏網路分段隔離,使得一旦遭受攻擊,威脅可能在系統間快速橫向擴散。
因基礎設施老化,也使得資安威脅對整體航空業可能造成的衝擊更加嚴重。真實案例顯示,針對漏洞的蓄意攻擊、或是僅僅單純因系統過於老舊產生障礙,都會導致連鎖效應,對實際航空運輸造成影響。例如2024年8月西雅圖的塔科馬國際機場(Seattle Tacoma International Airport)遭受Rhysida勒索軟體組織攻擊,迫使機場在美國勞動節旅行高峰期採用人工操作,影響超過7,000件行李處理,並需要發放紙本登機證。[7]另一個典型案例是美國西南航空(Southwest Airline)2022年12月航空旺季時,由於對三十年前部署的排班軟體系統過度依賴,當系統因惡劣天氣導致的重新排程需求超載時完全失效,最終導致17,000個航班取消,200萬名乘客滯留,該季度營運損失達4.1億美元。[8]
二、航空基礎設施資安威脅可能造成經濟與國防衝擊
針對航空基礎設施資安威脅,2025年4月美國防衛民主基金會(Foundation for Defense of Democracies)發布報告提醒,美國航空業資安威脅的影響層面將造成經濟與國防衝擊。[9]值得注意的是,報告中確定的許多問題,都是業界和政策制定者多年來就已知的遺留問題。這種關注不足和未能及時採取行動的情況,使航空業暴露於風險之中。
報告指出,美國航空基礎設施構成的龐大網路,涵蓋近20,000個機場和將近7,000架飛機,不僅管理敏感資料,同時透過對美國境內外運輸方式支持民用商業和軍事行動。美國運輸指揮部(USTRANSCOM)所屬的民用後備航空隊(Civil Reserve Air Fleet, CRAF),在緊急狀況下動員民用航空公司的飛機支援軍事運輸,是美國維持全球軍事機動性的重要支柱。這種軍民兩用基礎設施特性,意味著針對商業航空的網路攻擊可能直接危及國防能力。
從經濟影響來看,美國商業航空公司每日運輸約290萬名乘客和61,000噸貨物,任何重大網路攻擊都可能引發連鎖反應,影響全球供應鏈穩定。除了美國仰賴民用航空公司飛機支援外,俄羅斯2022年入侵烏克蘭後的九個月內,簽約商業航空公司執行了超過820次國家安全相關任務,為烏克蘭部隊運送重要武器和裝備,凸顯此運輸模式對國防的重要性。
為解決這些日益嚴重的挑戰,防衛民主基金會針對美國航空資訊安全改善提出五項關鍵建議:具有嵌入式網路安全措施的政體空中交通管制現代化、為69個具有軍事重要性的機場建立戰略機場防禦補助金、由聯邦航空總署(Federal Aviation Administration, FAA)、國土安全部運輸安全管理局(Transport Security Administration, TSA)和網路安全與基礎設施安全局(Cyber and Infrastructure Security Agency, CISA)領導的多機構風險評估、協調各機構間相互衝突的監管要求,以及透過適當的追蹤機制和資金加強航空網路倡議(Aviation Cybersecurity Initiative)。這些建議不僅需要公私協力的跨部門協調行動,更必須對技術和監管改革進行大量投資。[10]
參、趨勢研判
一、區域軍民共用航空基礎設施具備高度風險
由於冷戰時期戰略部署模式遺存,與數位化、資訊化後必須面對的現代網路威脅,這使得區域軍民共用航空基礎設施存在高度風險。美國在印太地區建立的前沿防禦體系,大量依賴與盟國的軍民共用機場設施,當時規劃的主要考量是基於傳統軍事威脅和成本效益。然而,隨著網路威脅演進,這些設施的軍民共用特性即可能形成脆弱點。
與美國本土相比,印太地區軍民共用設施呈現出截然不同的風險特徵。美國本土軍民航空基礎設施相對分離,大型軍事基地如安德魯斯空軍基地(Andrews Air Force Base)與鄰近民用機場保持物理和作業上的獨立性,大多數的空軍國民兵與預備役部隊,則是與民用機場簽訂協議、規劃一部分提供部隊使用,例如賓州匹茲堡國際機場(Pittsburgh International Airport, IAP)內空軍預備基地(Pittsburgh IAP Air Reserve Station)、佛州傑克遜維爾國際機場(Jacksonville International Airport, JAX)內空軍國民兵基地(Jacksonville Air National Guard Base)等。[11]
即使在少數軍民共用(joint-use)的情況下,如佛羅里達州的埃格林空軍基地(Eglin Air Force Base)與德斯坦—華頓堡海灘機場(Destin–Fort Walton Beach Airport)共用機場與兩條跑道,但軍事作業區域與民用區域也有明確的安全隔離措施。[12]
相對地,印太地區的軍民共用航空基礎設施中,民用和軍用航機大部分都是共享相同的物理跑道,例如日本的那霸機場同時也是航空自衛隊的那霸基地,由國土交通省與航空自衛隊共同營運,航空自衛隊西南航空方面隊及日本海上自衛隊第5航空群共同使用。南韓的金海國際機場與韓國空軍基地共用機場設施;菲律賓的尼諾伊‧阿奎諾國際機場(Ninoy Aquino International Airport)與維拉莫爾空軍基地(Villamor Airbase)亦共用跑道。[13]這種深度整合的軍民共用模式,在重大衝突情景可能導致「連鎖失效」(cascading failure)的風險,攻擊者可能透過滲透相對脆弱的民用系統,直接影響使用相同跑道和甚至空中交通管制系統的軍事飛行運作。
二、國家支持的攻擊者可能會以航空基礎設施為目標
中國、俄羅斯和北韓等國家支持的進階持續性威脅(Advanced Persistence Threat, APT)組織在東亞地區表現尤為活躍,其攻擊能力呈現指數級增長。不僅東亞地區已成為全球網路威脅的重災區,根據資安業者ESET的研究報告,APT組織更持續擴大目標至歐美等地,2024年第4季與2025年第1季全球攻擊事件有超過半數來自中國及北韓的APT組織。[14]其中APT40、APT41、APT33等組織,專門針對航空、國防和高科技製造業,利用供應鏈攻擊、零日漏洞和社交工程手段實施長期滲透。[15]尤其APT組織慣常以「預置惡意軟體」(pre-positioning)方式潛伏,此威脅在軍民共用環境中可能特別嚴重,敵對國家可能在民用系統植入惡意軟體,在衝突期間啟動以破壞關鍵軍事行動。[16]中國「伏特颱風」(Volt Typhoon)組織已展示針對關鍵基礎設施的「依地而生」技術,用於持久存取。[17]
面對印太地區軍民共用設施的高風險態勢和國家級威脅行為者的持續威脅,除持續落實資安治理、拉近政策與落實的落差外,共通的網路安全挑戰還需要透過區域合作來共同應對。航空基礎設施所面臨的威脅具有跨國性質,單一國家難以獨自有效防禦,藉由針對共通威脅的建立合作機制,不僅能夠提升各國個別防護能力,更能建立區域集體安全網路,確保印太地區航空基礎設施在面對複雜網路威脅時的整體韌性。
[1] “Air Transport Infrastructure: Thoe Roles of the Public and Private Sectors,” World Bank, https://thedocs.worldbank.org/en/doc/317661434652909047-0190022005/render/AirTransportinfrastructure.pdf.
[2] “Aviation Sector See 600% Year-On-Year Increase in Cyberattacks,” Thales, June 13, 2025, https://www.thalesgroup.com/en/worldwide/aerospace/press_release/aviation-sector-sees-600-year-year-increase-cyberattacks.
[3] Ahmed Helmy, “Analysis: Commercial Aviation Cybersecurity Threats in 2025,” Airways Magazine, May 18, 2025, https://www.airwaysmag.com/new-post/aviation-cybersecurity-threats-in-2025.
[4] “The Aviation and Aerospace Sectors Face Skyrocketing Cyber Threats,” Resecurity, March 16, 2024, https://www.resecurity.com/blog/article/the-aviation-and-aerospace-sectors-face-skyrocketing-cyber-threats.
[5] Ibid.
[6] “Air Traffic Control: FAA Actions Are Urgently Needed to Modernize Aging Systems,” U.S. Government Accountability Office, September 23, 2024, https://www.gao.gov/products/gao-24-107001.
[7] “Hackers Demand $6 million for Files Stolen from Seattle Airport Operator in Cyberattack,” AP News, September 19, 2024, https://apnews.com/article/seattle-airport-cyberattack-ransomware-rhysida-95cd980a9f45112f0fdce488233eec9c.
[8] Samantha Masunaga, Katie Licari and Vanessa Martínez, “Making Travel Plans? Southwest’s Holiday Meltdown May Be A Sign of Air Travel Drama to Come,” Los Angeles Times, January 26, 2023, https://www.latimes.com/business/story/2023-01-26/southwest-holiday-meltdown-may-be-a-sign-of-air-travel-drama-to-come.
[9] Jiwon Ma, “Turbulence Ahead: Navigating the Challenges of Aviation Cybersecurity,” Foundation for Defense of Democracies, April 2025, https://www.fdd.org/analysis/2025/04/turbulence-ahead-navigating-challenges-aviation-cybersecurity/.
[10] Ibid.
[11] “About the Pennsylvania Air National Guard,” Pennsylvania Air National Guard, https://www.pa.ng.mil/Air-National-Guard/; “125th Fighter Wing,” 125th Fighter Wing, https://www.125fw.ang.af.mil/About-Us/.
[12] “Joint Civilian/Military (Joint-Use) Airports,” Federal Aviation Agency, https://www.faa.gov/airports/planning_capacity/joint_use_airports.
[13] Alexander Mitchell, “Joint-Use Airports: Everything You Need To Know,” Simple Flying, August 6, 2023, https://simpleflying.com/joint-use-airports-complete-guide.
[14] Robert Lemos, “Asia Produces More APT Actors, as Focus Expands Globally,” Dark Reading, May 21, 2025, https://www.darkreading.com/cyber-risk/asia-apt-actors-focus-expands-globally.
[15] Mike MacPherson and Matthew Pennington, “APT33 Hunt Report,” Booz Allen, https://www.boozallen.com/insights/cyber/tech/apt33-hunt-report.html; “APT Group Threat on Aviation Sector: Phases of Attack and Prevention,” Hadrian, https://hadrian.io/blog/apt-group-threat-on-aviation-sector-phases-of-attack-and-prevention; “APT 40 Cyber Espionage Activities,” Federal Bureau of Investigation, May 28, 2021, https://www.fbi.gov/wanted/cyber/apt-40-cyber-espionage-activities.
[16] Shaun Waterman, “Dual-Used Military and Civil Airports Face Cyber Threats – and Policy Challenges,” Air & Space Forces Magazine, June 23, 2025, https://www.airandspaceforces.com/dual-use-military-and-civil-airports-face-cyber-threats-and-policy-challenges/.
[17] “ODNI 2025 Threat Assessment Notes Threats from Russia, China, Iran, North Korea Targeting Critical Infrastructure, Telecom,” Industrial Cyber, March 26, 2025, https://industrialcyber.co/reports/odni-2025-threat-assessment-notes-threats-from-russia-china-iran-north-korea-targeting-critical-infrastructure-telecom/.